本月焦點

五步驟確保「企業智慧財產」文件資訊安全

朱峯詰 朱峯詰

智慧財產是企業生存的命脈,也時常成為駭客攻擊的目標,目的就是為了獲取公司的重要資訊,因掌握了資訊就等於掌握了先機。公司的知識產權包含:專利、商業秘密、以及員工專有的技術,這些無形的資產可能比有形資產更有價值。透過資通電腦 ARES PP DRM(Digital Right Management,數位版權管理)文件加密系統核心底層加密、文件稽核管理、地理軌跡追蹤等功能,協助企業保護智慧財產安全,有效防止重大營運損失。

什麼是智慧財產權(Intellectual Property Rights,IPR)?

智慧財產可以是任何東西,從特定的製造過程、產品發佈計畫、商業秘密(如:藥品配方)到專利註冊國家與地區的資訊列表,都可視為「無形的資產」。而世界知識產權組織(World Intellectual Property Organization,WIPO)對智慧財產的定義是指「人類精神活動的成果而能產生財產價值的發明」,例如:在商業中使用的標誌、名稱、圖像、發明專利、商標、外觀設計、小說、戲劇電影、音樂、藝術品(雕塑、繪畫、照片)。

如何確保智慧財產的安全?

當企業的智慧財產被竊取並在網路上流傳時,其實很難抓到兇手,更不用說是提出證據對其起訴,但可透過以下基本五大步驟確保智慧財產的安全:

1. 瞭解擁有哪些智慧財產

訂出每季至少進行一次跨部門主管與企業領導階層會議,並訂定各組織必須有一個資訊安全計畫,以確保員工意識到保護敏感資訊的重要性,唯有讓所有員工都瞭解到哪些是需要被保護的內容時,才能更加知道要從哪保護與如何保護智慧財產。

2. 瞭解智慧財產在哪裡

不要忽略智慧財產會在以下區域出現:

  • 印表機、影印機、掃描器、傳真機:這些設備通常都已連接網路成為資訊外洩的洞口。故需制訂適合的程序與政策來清除留存在設備中的文件並防止未經授權的存取。
  • 雲端應用程式與文件共享服務:這些管道可能是公司管理的死角。因此必須瞭解員工正在使用什麼,以便限制未經授權的雲端服務。
  • 員工的個人設備:員工通常出於良性原因將公司文件透過電子郵件等管道寄回家中進行處理。因此必須對員工進行正確的資安意識訓練,並監控與追蹤資訊的發送位置。
  • 第三方系統:公司通常會與業務合作夥伴進行交流,必須確保這些合作夥伴是否遵守合約規定,合約中必須闡述合作夥伴如何保護您的智慧財產並進行管控以確保合作夥伴遵守這些條款。

3. 標記有價值的智慧財產

將公司內所有的機密訊息標記警語與標籤。針對實體文件進行密件等級的標記,若是數位文件則需在登入觀看的螢幕上顯示浮水印以提醒使用人員。

4. 對員工進行資安意識教育訓練

在大多數情況下,資料外洩有可能是「人員」在無意識下所造成的。而根據 Egress Software Technologies 進行的一項研究顯示,最常見的外洩管道是:

  • 外部電子郵件,如:Gmail 或 Yahoo 帳戶(51%)
  • 公司電子郵件(46%)
  • 通過 FTP 共享文件(40%)
  • 諸如 Slack 或 Dropbox 之類的協作工具(38%)
  • 簡訊或即時通訊應用程式,如:Skype、Line(35%)

可見「人」是資訊安全防禦鏈最薄弱的一環,若只著重在防火牆與版權管理系統,而不注重員工的資安意識,保護智慧財產安全的工作將注定失敗,所以提高員工的資安意識絕對是防堵智慧財產洩露的必要工作。

5. 瞭解保護智慧財產的工具有哪些

越來越多軟體工具可用於保護與追蹤文件。資料外洩防護(Data Loss Prevention,DLP)與數位版權管理工具是現代智慧財產防護的重要核心系統,不但可保護敏感文件,還可追蹤文件的使用方式以及被誰使用。在多數的情況下,對智慧資產進行加密將可大幅減少外洩的風險。